Les entreprises qui veulent rester compétitives doivent accepter le paiement par carte. Cependant, la fraude par carte de crédit, le vol d'identité et le vol de données augmentent à des taux alarmants.
En tant que tel, il est crucial que les entreprises protègent les données de leurs clients. Une sécurité laxiste permet aux criminels de voler et d'utiliser les informations financières personnelles des consommateurs issues des transactions et des systèmes de traitement des paiements.
La version 4.0 des Normes de Sécurité des Données de l'Industrie des Cartes de Paiement (PCI DSS 4.0) est la nouvelle norme mondiale visant à protéger les données des comptes de paiement contre les cyberattaques.
La norme PCI DSS comporte 12 conditions pour créer et maintenir un environnement de paiement fiable et sécurisé. L'impact de la norme PCI DSS 4.0 sur vous dépend de la taille de votre entreprise et de la question de savoir qui est responsable de la protection des données des comptes de vos clients, vous, Checkout.com ou votre plateforme d'e-commerce.
Les conditions de la norme PCI DSS 4.0 définissant les rôles et les responsabilités en matière de protection des données des titulaires de cartes entreront en vigueur en avril l'an prochain. La plupart des conditions techniques visant à améliorer la manière dont les entreprises et les prestataires de services de paiement traitent les données des comptes de paiement entreront en vigueur à partir de 2025.
Le Payment Card Industry Data Security Standard est un cadre de sécurité de l'information qui vise à aider les commerçants et les prestataires de services à protéger les transactions par carte contre les violations de données.
Toutes les entreprises qui acceptent, transmettent ou gardent les informations privées des titulaires de cartes de paiement doivent respecter les 12 conformités à la norme PCI. Il s'agit de maintenir des environnements sécurisés et de protéger les données des titulaires de cartes de leurs clients, ainsi que leur réputation en tant qu'entreprises fiables.
Toutefois, la conformité PCI DSS n'est pas une loi ou un règlement. Il s'agit plutôt d'un mandat de l'industrie. Néanmoins, les entreprises qui ne respectent pas les normes PCI peuvent se voir infliger des amendes pour négligence et violation des accords.
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de règles de sécurité conçues pour s'assurer que toutes les entreprises qui acceptent, traitent, conservent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. Bien que la norme PCI DSS soit gérée par le PCI Security Standards Council, qui est une organisation indépendante, son adhésion n'est pas imposée par la loi. Cependant, elle est rendue obligatoire par les accords contractuels entre les commerçants, les banques acquéreuses et les principales marques de cartes de crédit comme Visa, MasterCard, American Express, Discover et JCB.
En résumé, la conformité à la norme PCI DSS n'est pas directement une obligation légale, mais elle devient de facto obligatoire pour toute entreprise qui traite des transactions par carte de crédit en raison des exigences imposées par les réseaux de cartes et les banques. Le non-respect de ces normes peut entraîner des amendes, des restrictions ou la révocation de la capacité à traiter des paiements par carte de crédit, ce qui peut avoir un impact significatif sur les activités commerciales.
Savoir plus: Tout ce que vous devez savoir sur la DSP3 et RSP
Ceci dépend de votre méthode d'intégration. Si vous utilisez des cadres, des pages de paiement hébergés, des liens de paiement, nos SDK mobiles ou l'une de nos plateformes d'e-commerce prises en charge, Checkout.com et/ou votre plateforme d'e-commerce ont une responsabilité plus grande (mais non intégrale) vis-à-vis de la protection de ces données.
Vous constaterez des modifications apportées à votre questionnaire d'auto-évaluation (appelé également SAQ, Self-Assessment Questionnaire) en raison de la norme PCI DSS 4.0, mais c’est sur Checkout.com ou sur votre plateforme que l’impact ressenti sera le plus significatif.
Checkout Technology Ltd, une société du groupe Checkout.com, est un fournisseur de services certifié PCI DSS de niveau 1, la norme la plus élevée établie par l’industrie des cartes de paiement.
L'utilisation de notre API Full Card vous confère une plus grande responsabilité vis-à-vis des données des comptes. Si vous utilisez cette méthode d'intégration, nous vous recommandons vivement de lire les modifications ci-dessous dans leur intégralité. À compter du 1er avril 2024, votre SAQ-D commencera à refléter les conditions de la norme PCI DSS 4, lesquelles seront suivies d'autres changements à partir du 1er avril 2025.
Si vous utilisez notre API Full Card, vous devez commencer à évaluer les conditions dès maintenant. Plus vite vous comprendrez les implications de la norme PCI DSS 4.0 pour votre entreprise, plus vite vous pourrez planifier et hiérarchiser les tâches.
Comprenez les conditions de la version 4.0, comparez-les à vos contrôles de sécurité actuels et analysez l'impact qu'elles auront sur votre entreprise. Peut-être satisfaites-vous déjà à certaines conditions de la version 4.0 ; il convient donc de concentrer les efforts là où ils sont le plus nécessaires.
Vous pourriez envisager de passer à une approche personnalisée, avec certains contrôles et examens de sécurité définis par une analyse des risques ciblée. Si vous souhaitez procéder à la transition, vous devez comprendre ce qui est nécessaire et vérifier que vous respectez les nouvelles conditions.
La norme PCI 4.0 introduit une nouvelle approche personnalisée en plus de l'approche définie pour la validation. Les entreprises peuvent procéder à une analyse des risques ciblée en fonction des risques auxquels elles sont exposées pour déterminer certains domaines de responsabilité.
Les approches de sécurité sont soumises à des conditions plus strictes, notamment en ce qui concerne le chiffrement des données des comptes, l'utilisation de logiciels et de matériel de sécurité, la formation du personnel et la réponse aux incidents.
Pour finir, de nouvelles définitions ont été introduites. Si vous connaissez la terminologie PCI DSS, vous avez peut-être remarqué qu'il est question dans cet article des données du compte plutôt que des données du titulaire de la carte. La norme PCI DSS 4.0 s’intéresse en priorité aux données des comptes, même si certains éléments restent spécifiques aux informations des cartes.
Les 12 exigences de conformité PCI établies par le PCI SSC sont à la fois opérationnelles et techniques ; toutefois, l'objectif principal de ces exigences est toujours de protéger les données des titulaires de cartes. Il s'agit des 12 exigences définies par le PCI SSC pour PCI DSS 4.0.
Les contrôles de sécurité du réseau, tels que les pare-feu, sont des "points d'application de la politique du réseau qui contrôlent le trafic du réseau entre deux ou plusieurs segments (ou sous-réseaux) logiques ou physiques du réseau sur la base de politiques ou de règles prédéfinies". Historiquement, ces contrôles ont été effectués à l'aide de pare-feu physiques. Aujourd'hui, cependant, les contrôles d'accès au cloud, les dispositifs virtuels, les systèmes de virtualisation/conteneurs et d'autres technologies de mise en réseau définies par logiciel peuvent agir comme des contrôles de sécurité du réseau.
Souvent, des acteurs malveillants à l'intérieur et à l'extérieur d'une organisation utilisent des mots de passe par défaut et d'autres paramètres par défaut du fournisseur pour obtenir un accès non autorisé aux systèmes de l'entreprise. En appliquant des configurations sécurisées aux composants du système, une entreprise réduit les moyens par lesquels un cybercriminel peut compromettre ses systèmes. En outre, une entreprise peut contribuer à réduire la surface d'attaque potentielle en supprimant les logiciels, comptes et fonctions inutiles, en changeant les mots de passe par défaut et en supprimant ou en désactivant tous les services dont elle n'a pas besoin.
Les entreprises ne devraient pas conserver les données des comptes de paiement à moins qu'elles ne soient essentielles à l'activité de l'entreprise. Elles ne doivent pas non plus conserver de données d'authentification sensibles une fois que les transactions ont été autorisées. Si les entreprises stockent les numéros de compte primaire (Primary Account Number, PAN) des clients, elles doivent s'assurer que ces numéros ne peuvent pas être lus. Les entreprises qui conservent des données d'authentification sensibles avant l'autorisation doivent également protéger ces données.
Les entreprises doivent crypter les PAN lorsqu'ils sont transmis sur des réseaux auxquels des personnes malintentionnées peuvent facilement accéder. Ces réseaux comprennent les réseaux ouverts, publics et non fiables. Les auteurs de menaces continuent de cibler les réseaux sans fil qui ne sont pas configurés correctement. Ils ciblent également les lacunes des protocoles d'authentification et le cryptage existant pour obtenir un accès privilégié à tous les systèmes qui stockent, manipulent ou transmettent des données sur les titulaires de cartes. Pour sécuriser les transmissions PAN, les entreprises peuvent crypter la session au cours de laquelle les données sont transmises, crypter les données avant qu'elles ne soient transmises, ou les deux.
Les logiciels malveillants sont des logiciels installés sur un ordinateur à l'insu d'une organisation ou sans son consentement, dans le but de compromettre les systèmes, les données et/ou les applications de l'entreprise. Les logiciels malveillants comprennent les chevaux de Troie, les vers, les virus, les ransomwares, les spywares, les codes malveillants, les rootkits, les keyloggers et les scripts. Les auteurs de logiciels malveillants diffusent leurs logiciels malveillants sur un réseau par le biais de diverses méthodes, notamment des outils de collaboration et des attaques par phishing.
Les cybercriminels peuvent exploiter les failles de sécurité des applications et des systèmes pour accéder aux données de paiement. Toutefois, les organisations peuvent éliminer bon nombre de ces failles en installant les correctifs de sécurité fournis par les vendeurs. Ces correctifs réparent rapidement des éléments spécifiques du code de programmation. Pour empêcher les cybercriminels d'exploiter les vulnérabilités, les organisations doivent s'assurer qu'elles ont installé les correctifs les plus récents sur leurs systèmes et applications critiques.
Les entreprises doivent également appliquer les correctifs aux systèmes qui ne sont pas aussi critiques dans un délai approprié, conformément à une analyse formelle des risques. "Les applications doivent être développées conformément à des pratiques de développement et de codage sécurisées, et les modifications apportées aux systèmes dans l'environnement des données des titulaires de cartes doivent suivre des procédures de contrôle des modifications", selon le PCI Security Standards Council.
Les acteurs de la menace peuvent accéder aux systèmes et aux données critiques parce que les règles et les définitions de contrôle des organisations ne sont pas efficaces. Pour s'assurer que seules les personnes autorisées peuvent accéder aux données critiques, les entreprises doivent mettre en œuvre des systèmes et des processus qui garantissent que les utilisateurs ont des raisons légitimes d'accéder aux informations sensibles. Et elles ne doivent leur donner accès qu'aux informations dont ils ont besoin pour faire leur travail, quel que soit leur niveau d'habilitation de sécurité ou d'autres approbations.
Les entreprises doivent attribuer un identifiant unique à chaque personne ayant accès aux données et aux systèmes sensibles, afin de s'assurer que seules les personnes connues et autorisées travaillent avec les données. Cela permet également aux entreprises de retracer les actions effectuées sur ces données en remontant jusqu'à des utilisateurs spécifiques. "Ces exigences s'appliquent à tous les comptes, y compris les comptes de point de vente, ceux qui ont des capacités administratives, et tous les comptes utilisés pour visualiser ou accéder aux données des comptes de paiement ou aux systèmes contenant ces données", selon le PCI SSC. Toutefois, ces exigences ne s'appliquent pas aux comptes utilisés par les titulaires de cartes.
Les entreprises doivent restreindre l'accès physique aux données des titulaires de cartes ou aux systèmes qui conservent, traitent ou transmettent ces données. Cela permet d'éviter que des personnes non autorisées n'accèdent physiquement aux systèmes ou ne retirent les documents papier contenant ces informations.
Il est essentiel que les entreprises mettent en place des mécanismes d'enregistrement afin de pouvoir suivre les activités des utilisateurs pour détecter les anomalies et les activités suspectes, ainsi que pour permettre une analyse judiciaire efficace. Les enregistrements permettent aux organisations de suivre de près l'activité des utilisateurs et de détecter tout problème. Sans enregistrement de l'activité du système, il est pratiquement impossible d'identifier la cause d'une violation.
Les chercheurs et les cybercriminels découvrent sans cesse de nouvelles failles dans les logiciels. En outre, des vulnérabilités sont introduites lors de la sortie de nouveaux logiciels. Par conséquent, les entreprises doivent fréquemment tester les composants des systèmes, les processus et les logiciels personnalisés pour s'assurer que les contrôles de sécurité appropriés sont en place.
Les entreprises doivent s'assurer que tous leurs employés comprennent la sensibilité des données relatives aux comptes de paiement et ce qu'ils doivent faire pour les protéger. La mise en œuvre d'une politique de sécurité solide donne le ton en matière de sécurité dans l'ensemble de l'entreprise et permet aux employés de savoir quelles sont leurs responsabilités en la matière.
Les commerçants qui travaillent avec des prestataires de services de paiement tiers doivent toujours se conformer à la norme PCI. Toutefois, le recours à des tiers réduira probablement leur exposition au risque et facilitera la validation de la conformité.
Les passerelles de paiement tierces utilisent des méthodes de sécurisation des données, telles que la tokenisation, qui permettent aux entreprises de stocker des tokens sur leurs serveurs locaux au lieu des données réelles. Les tokens remplacent les données sensibles des cartes sans exposer les détails réels des comptes. La tokenisation permet aux entreprises de proposer aux clients des paiements en un clic pour faciliter et accélérer le processus de paiement.
L'utilisation de passerelles de paiement peut alléger le fardeau de la conformité PCI ; toutefois, les entreprises restent responsables de leur propre sécurité et doivent s'engager à tester, renforcer et mettre à jour en permanence leur conformité PCI.
La fuite des données relatives aux cartes bancaires nuit à la confiance des clients et peut entraîner une baisse du chiffre d'affaires. Tout marchand ne respectant pas les normes PCI DSS risque de faire face à de sévères répercussions, telles que des amendes, des poursuites judiciaires et des atteintes à leur réputation.
Le niveau de conformité PCI DSS (Payment Card Industry Data Security Standard) qui s'applique à votre établissement dépend principalement du volume de transactions par carte de crédit que vous traitez sur une base annuelle. Les niveaux sont définis par les marques de cartes de crédit et peuvent varier légèrement entre elles, mais voici une vue d'ensemble générale des niveaux pour la plupart des cas:
Il est important de noter que ces niveaux peuvent varier légèrement selon les marques de cartes et les régions. De plus, votre banque acquéreuse ou le processeur de paiement peut avoir des exigences supplémentaires ou plus strictes. Il est donc crucial de vérifier directement avec eux ainsi qu'avec les normes spécifiques de chaque marque de carte avec laquelle vous travaillez pour déterminer le niveau de conformité PCI DSS exact qui s'applique à votre situation.
Quelles que soient vos responsabilités, vous avez obligation de revoir et de valider votre certification PCI DSS une fois par an. Les évaluateurs de sécurité qualifiés (appelés également QSA, Qualified Security Assessors) sont des personnes et des sociétés indépendantes agréées par le Conseil des normes de sécurité PCI qui valident votre conformité à la norme PCI DSS, vous aident à choisir le SAQ adapté à votre entreprise et vous accompagnent tout au long de la procédure.
Checkout.com est associé à SecurityMetrics, une société de QSA, pour aider les commerçants à se conformer à la norme PCI DSS. SecurityMetrics vous contactera chaque année pour vérification et validation si vous avez choisi de faire appel à eux lors de votre demande.
SecurityMetrics est le mieux placé pour répondre aux questions spécifiques relatives à l'étendue de votre conformité. Pour connaître les meilleurs moyens de contacter SecurityMetrics, veuillez consulter leur site Internet.